L’Autorità Garante per la protezione dei dati personali ha recentemente aggiornato al 2021 le FAQ sul Responsabile per la Protezione dei Dati.
Il Responsabile per la Protezione dei Dati, o Data Protection Officer (DPO) è la figura che è incaricata di sorvegliare il rispetto del Regolamento europeo sulla protezione dei dati (GDPR) e che ha il compito di offrire consulenza e guidare l’azienda nel trattamento dei dati personali.
Il Garante Privacy ci ricorda che:
- Il DPO può essere una persona fisica o una persona giuridica
- La carica di DPO può essere sia interna che esterna. Se interna, attenzione al conflitto d’interessi: NO direttori, responsabili IT, RSPP, uffici risorse umane/marketing, ecc.
- La designazione di DPO è obbligatoria per diversi soggetti, come:
- Imprese assicurative
- Settore utilities (telecomunicazioni, energia…)
- Imprese di ricerca e selezione del personale, caf e patronati, società finanziarie e di revisione contabile
- Call center
- Imprese che offrono servizi informatici (es. SaaS)
- Sanità e telemedicina
A questi soggetti devono aggiungersi le realtà che in ogni caso rientrano nei requisiti previsti dall’articolo 37 del GDPR.
La raccomandazione è quindi quella di fare sempre un’analisi oggettiva del trattamento di dati, e valutare l’obbligatorietà o meno di designazione del DPO, a prescindere dal settore di riferimento.